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<g) Sicherheitssystem zum Identifizieren und Authentisieren von Kommunikationspartnern 

(57) Die erfindungsgema&e Losung betrifft ein Sicherheitssy- 
stem. das eine eindeutige Identifizierung und Authentisie- 
rung von Kommunikationspartnern ermoglicht und somit die 
notwendige Sicherheit fur den Austausch von vertrauiichen 
Informationen gewahrleistet. 

Voraussetzung ist. daB alle Kommunikationspartner mit 
einem individuellen Sicherheitsmodul ausgestattet sind und 
uber sicherheitstechnische Einrichtungen STE verfugen. Der 
Verbindungsaufbau wird von den STE ubernommen. Dabei 
wird geprufi, ob beim Kommunikationspartner ebenfalis eine 
aktivierte STE vorhanden ist. Mit dieser STE wird ein 
Informationsaustausch und ein Authentikations- und Schlus- 
selaustauschprotokoll vorgenommen. Danach erfolgt eine 
personliche Authenttzierung und die Betriebsartentschei- 
dung einschlieBlich evtl. erforderlicher Schiusselvereinba- 

rung. " ' . 

1 Mlttels der erfindungsgema&en Losung werden sowohl die 
Sicherheit der Kommunikationspartner als auch die Sicher- 
heit des Kartenterminals in die Prufung auf Informationssi- 
cherheit einbezogen. 
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Die Erfindung betrifft ein Sicherheitssystem zum 
Identifizieren und Authentisieren von Kommunika- 
tionspartnern der im Oberbegriff -des Paten tanspruch 1 
naher definierten Art, welche die Informationssicherheit 
mit Sicherheitsmechanismen von hoher Wirksamkeit 
erreicht. Sie schutzt insbesondere gegen die Bedrohun- 
gen: 

— Verlust der Vertraulichkeit (Schutz vor unbefug- 
ter Preisgabe von Informationen) 

— Verlust der Integritat (Schutz vor unbefugter 
Anderung von Informationen) 

— Verlust der Anonymitat (Schutz vor unbefugter 
Preisgabe der Identitat). 

Zusatzlich bietet ein Kommunikationssystem, das mit 
diesen Einrichtungen ausgestattet ist, die Moglichkeit, 
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den Sicherheitsfunktionen von sicherheitstechnischen 
Einrichtungen (kurz STE) wird der authentische und 
vertrauliche Informationsaustausch in Kommunika- 
tionssystemen, — hierzu zahlen samtliche Daten- und 
Gomputernetze im lokalen wie auch im Weitverkehrs- 
betrieb — fur die digitale Obertragung von Daten und 
Sprache gewahrleisteL 

Die sicherheitstechnischen Einrichtungen sind gemaB 
dieser Erfindung in bestehende Kommunikationsinfra- 
strukturen als aktive Komponenten integrierbar und 
konnen zusatzlich einen gesicherten Zugriff auf vorhan- 
dene Informationssysteme gewahrleisten. Fur diese In- 
formationssysteme sollen keine oder nur minimale Er- 
weiterungen oder Konfigurationsanderungen notwen- 
dig werden. 

Wichtiges technisches Merkmal der STE ist, daB Be- 
nutzer sich eindeutig mit Hilfe von personalisierten Si- 
cherheitsmodulen identifizieren und authentisieren 
mQssen. Es ist allerdings auch moglich, daB die Funktio- 



daB der Zugriff auf Computersysteme, die in diesem 20 nalitat eines personalisierten Sicherheitsmoduls in die 



Kommunikationsnetz betrieben werden, gesichert wird. 

Bestehende Kommunikationsinfrastrukturen verfu- 
gen im allgemeinen nicht fiber ausreichende Mechanis- 
men, daB Kommunikationspartner sich gegenseitig ein- 
deutig identifizieren und authentisieren konnen, um an- 25 
schlieBend und vertraulich Informationen auszutau- 
schen. Erst durch erhebliche Eingriffe in die benutzten 
Kommunikationssysteme konnen die Partner nach vor- 
herigen Verabredungen notwendiger Parameter die 



Prozesse aktivieren, die z. B. durch kryptographische 30 Base und die 



STE integriert wird. 

Nachfolgend wird die Erfindung anhand von Ausfuh- 
rungsbeispielen naher erlautert. In den zugehorigen 
Zeichnungen zeigen die: 

Fig. 1 eine Identifikation und Authentisierung der 
personalisierbaren Sicherheitsmodule und der sicher- 
heitstechnischen Endeinrichtungen, 

Fig. 2 eine Grundstruktur einer systemunabhangigen 
sicherheitstechnischen Endeinrichtung bzw. Security 



Verfahren, einen vertrauenswurdigeren Informations- 
austausch gestatten und in der Regel noch zusatzliche 
MaBnahmen notwendig machen. Geeignete kryptogra- 
phische Verfahren gestatten grundsatzlich eine vertrau- 
liche Kornmunikation. 

Durch den Einsatz von geeigneten Sicherheitsmodu- 
len (wie z. B. Chipkarten) ist eine Identifikation von Be- 
nutzern auf eine hochst vertrauenswtirdige Weise mog- 
lich. 



Fig. 3 einen Einsatz von STE und Security Base als 
systemunabhangige Sicherheitseinrichtungen Voraus- 
setzung fur die authentische und vertrauliche Kommu- 
nikation ist, daB alle Kommunikationspartner (Teilneh- 
35 rner) mit einem individuellen Sicherheitsmodul (Chip- 
karte) ausgestattet sind und uber eine STE verfugen. 

Will ein Teilnehmer sicher mit einem Partner kommu- 
nizieren, so muB er eine gultige Chipkarte in die STE 
. oder einen Kartenleser der STE einfuhren, Der Teilneh- 

Oeeignete Chipkarten lassen den Zugriff auf interne 40 mer muB sich gegenuber der Chipkarte durch Eingabe 
Funktionen und Daten nur dann zu, wenn sich ein Be- eines personlichen Merkmals (z. B. PIN = personliche 
nutzer gegenuber der Chipkarte durch ein Merkmal Identifikationsnummer) identifizieren. Die Chipkarte 
oder Geheimms (persOnliche Geheimzahl, Fingerprint, authentisiert sich mit einem geeigneten Verfahren ge- 
etc.) eindeutig identifiziert. Fur die Identifikation des genuber der STE und die STE authentisiert sich gegen- 
Benutzers gegenuber der Chipkarte muB ein Kartenter- 45 uber der Chipkarte, so daB alle Komponenten ihre Au- 



minal verwendet werden. Auch die Sicherheit des Kar- 
tentercninals muB in die Betrachtung der Informations- 
sicherheit einbezogen werden. Das Kartentenninal hat 
sich deshalb ebenfalls gegenuber der Chipkarte des Be- 
nutzers eindeutig zu identifizieren. 

Mit der vorliegenden Erfindung soli ein vom Kommu- 
nikationssystem unabhangiges Sicherheitssystem ge- 
schaffen werden, das die Identifikation von Benutzern 
mit einer Chipkarte bei Einsatz eines Chipkartentermi- 



thentizitat beweisen konnen. 

Die hierfur zum Einsatz kommende Methode kann 
ein sogenanntes "challenge-response" Verfahren sein, 
das mittels eines Chiffrieralgorithmus und eines Ge- 
50 heimnisses (Schlfissel) zwischen den Komponenten eine 
verschlusselte Zufallszahl austauschen (Authentisie- 
rungsparameter) und dadurch der Gegenseite den Be- 
sitz des Geheimnisses beweis, ohne daB dieses selbst 
, . . - * preisgegeben werden muB. So kann die Chipkarte eine 

nals mit der gegenseitigen Authentikation von Benut- 55 von der STE erhaltene verschlusselte Zufallszahl dechif- 
zern, dem Parameteraustausch fur den Einsatz krypto- frieren und an die STE zuruckschicken, womit die Chip- 
graphischer Verfahren und deren Anwendung fur den karte beweist, daB sie im Besitz eins Geheimnisses ist 
vertraulichen Informationsaustausch zwischen Kommu- (korrekter Entschlusselungsschlussel) und somit ihre 
nikationspartnern verknupft. Dazu soli kein Eingriff in Authentizitat beweist. Die Authentikation der STE ge- 
die bestehenden Kommunikationssysteme notwendig 60 genuber der Chipkarte lauft analog. 
sei J?*. Aus Sicherheitsgrunden und praktischen Erwagun- 

Diese Aufgabe wird erfindungsgemaB entsprechend gen soli die STE, die systemunabhangig ist, weil sie ge- 
dem Kennzeichen des Patentanspruchs 1 gelost. maB dieser Erfindung als systemunabhangige Kompo- 

Vorteilhafte Weiterbildungen der Erfindung sind in nente in die bestehende Infrastruktur integriert wird, 
den Kennzeichen der Patentanspruche 2 bis 8 beschrie- 55 m6glichst direkt zwischen der bestehenden KommunH 
ben * kationseinrichtung und dem AnschluB dieser an das 

unter Verwendung eines individuellen und personali- Kommunikationsnetz installiert werden. 
sierbaren Sicherheitsmoduls (z. B. einer Chipkarte) und Versucht nun die Kommunikauonseinrichtung eine 
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Verbindung zu einem Partner aufzubauen, so wird die 
STE selbstandig aktiv und schaltet sich in den Komrnu- 
nikationsfluB ein. Zunachst versucht die STE Informa- 
tionen mit der gegenseitigen STE des Kornmunikations- 
partners auszutauschen. 

Gelingt dies nicht, (weil die z. B. gegenseitige STE 
nicht aktiviert wurde oder nicht vorhanden ist), so lauft 
die Kommunikation in gewohnter Form ab, wobei die 
STE eine Warnfunktion aktiviert Diese Warnung an 
den Benutzer kann auf einem Display, durch Signallam- 
pen/ einem Signalton oder ahnlichem ausgefuhrt wer- 
den. 

Wird von der STE eine gegenseitige STE erkannt, so 
wird mit Hilfe eines Authentikations- und SchlQsselaus- 
tauschprotokolls ein Verschlusselungsschlussel (Sit- 
zungsschJussel) fur ein Chiffrierverfahren zwischen bei- 
den STE ausgehandelt. Das fur die Erfindung verwende- 
te Authentikationsprotokoll bietet dabei die sichere ge- 
genseitige Authentikation der Chipkarten der Kommu- 
nikationspartner, den verwendeten sicherheitstechni- 
schen Endeinrichtungen (STE) und ubernimmt den 
Schlusselaustausch. Dazu werden sogenannte "public- 
key" Verfahren eingesetzt. 

Diese Verfahren zeichnen sich dadurch aus, daB fur 
die Verschliisselung ein anderer Schliissel als fur die 
Entschliisselung verwendet wird. Daher kann einer der 
beiden Schliissel fur eine Verifikation veroffentlicht 
werden. Die Auttientizitat der verwendeten offentlichen 
Schliissel wird durch die Prufung einer elektronischen 
Unterschrift eines Zertifikates, das den Teilnehmer- 
schliisse! inklusive der Teilnehmeridentiiat und Zusatz- 
informationen enthalt, gewahrleistet. Dieses Zertifikat 
wird von einer vertrauenswurdigen dritten Instanz her- 
ausgegeben, die auch als Ausgabestelle der verwende- 
ten Sicherheitsmodule wirken kann. 

Die Identitat des Kornmunikationspartners, basie- 
rend auf dem in die STE eingefiihrten Sicherheitsmodul, 
wird der jeweiligen Gegenseite angezeigt, so daB nur 
mit dem Einverstandnis des STE-Benutzers eine Kom- 
munikation mit dem Partner moglich wird Dazu verfugt 40 
die Erfindung iiber eine Eingabefunktion, die entweder 
uber das angeschlossene Kommunikationsendgerat 
oder direkt an der STE betatigt werden kann. 

Nach dem vertrauenswurdigen Schlusselaustausch 
werden die Informationen zwischen den Kommunika- 45 
tionspartnern von STE zu STE mit dem Sitzungsschlus- 
sel chiffriert iibertragen. 

Die Kommunikationspartner, die mit Chipkarte und 
STE ausgestattet sind, konnen sornit ein geschlossenes 
Netz innerhalb einer offenen Kommunikationsihfra- 50 
struktur bilden. 

Die Erfindung kann optimal zusatzlich gemaB der An- 
spriiche die M6glichkeit bieten, daB durch eine oder 
mehrere entsprechend erweiterte STE, sogenannte Se- 
curity Basis (SB), Authentifikationsinformationen und, 55 
Capabilities an die Komrnunikationssysteme (beliebige 
Endeinrichtungen in bestehenden Netzen), nach der Au- 
thentikation iibertragen werden. Mit Hilfe dieser Benut- 
zerkennungen und Capabilities kann ein Kommunika- 
tionssystem die Zugriffsrechte auch von diesen verwal- eo 
teten Objekten regeln. Diese Leistung wird dadurch er- 
bracht daB die in der SB definierten Benutzerbzw. Teil- 
nehmerkennungen und Capabilities gespeichert und 
nach dem Ablauf der oben beschriebenen Authentika- 
tionsprozedur an das Endgerat iibertragen werden. 65 

Die Erfindung sieht vor, daB ein bestehendes Kom- 
munikationssystem mit einem Mocul (Security-Damon) 
ausgestattet werden kann, das die Capabilities korrekt 
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entgegen nimmt und einer Sys tern verwal tun g zur Wei- 
terverarbeitung ubergibt 

Eine SB kann zentrale Sicherheitsmanagernentaufga- 
ben in einem Kommunikationsnetz tibernehmen, indem 
5 sie f iir alle Teilnehmer Capabilities verwaltet 

STE und SB verfugen uber Administrationsschnitt- 
stellen, die einem autorisierten Systemverwalter Zu- 
gang fur Konfigurationsmoglichkeiten gestattet Ober 
eine derartige Schnittstelle konnen auch Zertifikate fur 
10 Benutzer einschlieBlich offentlicher Schliissel geladen 
werden. STE und SB sind Komrnunikationssysteme, de- 
ren Kommunikationsfahigkeit an die jeweiligen System- 
schnittstellen angepaBt werden kann. So konnen spe- 
zieli konfigurierte STE/SB in einem z. B. lokalen Netz- 
15 werk betrieben werden, wenn die STE/SB fiir das ver- 
wendete Kommunikationsprotokoil mit entsprechender 
Schnittstelle ausgeriistet wurde. Die Authentikations- 
und Chiffrierverfahren als zentrale Sicherheitsmecha- 
nismen werden unabhangig von der Systemkonfigura- 
20 tion immer mit gleicher Sicherheit bereitgestellt. 

Die Sicherheitsfunktionen der STE und SB konnen 
auch angeboten werden, wenn nicht ein Sicherheitsmo- 
dul von einem Benutzer verwendet wird, sondern ein 
integraler Bestandteil einer speziellen STE bzw. SB ist. 
25 Die STE und SB wirken dann in einem benutzerlosen 
automatischen Betrieb. Dieser Betriebsmodus wird ei- 
ner Gegenstelle wahrend der Verbindungsaufbauphase 
signalisiert, so daB die Gegenstelle entscheiden kann, ob 
sie den Verbindungswunsch ablehnt oder annimmt 
30 Auch ist der ausschlieBlich automatische Betrieb zwi- 
schen Kommunikationssystemen moglich, 

Jede STE und SB ist eindeutig von einer dritten In- 
stanz personalisierbar, so daB sie durch das Authentika- 
tionsprotokoll von einer Gegenstelle eindeutig identifi- 
35 ziert und authentisiert werden kann. 

STE und SB enthalten eine Protokollierungskompo-. 
nente, mit der es fiir den berechtigten Benutzer moglich 
ist, Ereignisse, wie z. B. berechtigte und unberechtigte 
oder abgelehnte Verbindungsaufbauten, Konfigura- 
tionsanderungen, abgebrochene Obertragungen usw., 
nachtraglich zu kontrollieren. 

Patentanspruche 

1. Sicherheitssystem zum Identifizieren und Au- 
thentisieren von Kommunikationspartnern fiir 
Verbindungen iiber Kommunika tionsnetze mit di- - 
gitaler Obertragung, dadurch gekennzeichnet, 
daB mindestens alien sicherheitsbedurftigen Kom- 
munikationspartnern, unabhangig vom verwende- 
ten Informationssystem, jeweils an der Schnittstelle 
zwischen der zu sichernden Kommunikationsein- 
richtung und dem Kommunikationsnetz, je eine 
dem. Netz angepaBte Sicherheitstechnische Ein- 
richtung (nachfolgend STE) mit Eigenschaften ei- 
ner Endeinrichtung beziehungsweise eine zur Si- 
cherheitsbasis (nachfolgend SB) erweiterte STE, 
ein individueller Sicherheitsmodul und ein personli- 
ches Merkmal zugeordnet werden, daB der Verbin- 
dungsaufbau von der STE bzw. SB iibernommen 
wird und mit einer Prufung verbunden ist, ob beim 
gerufenen Kommunikationspartner ebenfalls eine 
aktivierte STE bzw. SB erreicht wird und mit dieser 
ein Informationsaustausch und ein Authentika- 
tions- und Schliisselaustauschprotokoll vorgenom- 
men werden kann bzw. ob ein Warnsignal zu akti- 
vier'en ist, daB erst danach eine personliche Authen- 
tisierung und die Betriebsartenentscheidung ein- 
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schlieBIich evtl. erforderiicher Schlusselvereinba- 
rung durchgefuhrt wird. 

2. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE bzw. SB fur eine automa- 
tische Kommunikation mit einem Sicherheits-Ma- 
nagement Center (nachfolgend SMC) vorgeseheh 
sind. 

3. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet, daB die STE bzw. SB mit Rechteda- 
teien versehen sind, die Eintrage und evtl. Lei- 
stungsmerkmale enthalten, wer in welchen Be- 
triebsarten und evtl. mit welchen Partnern kommu- 
nizieren kann. 

4. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE bzw. SB uber'eine Proto- 
kollierungskomponente verfQgen, die relevante Er- 
eignisse aufzeichnet und kontrollfahig gestaltet 

5. Sicherheitssystem nach Anspruch 1 bis 4, dadurch 
gekennzeichnet daB die Rechtedateien und Proto- 
kollierungskomponenten teils lokal und teils vom 
SMC und teils von beiden Seiten beeinfluBbar sind 
und daB Ereignisse an das SMC gemeldet werden. 

6. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE/SB bzw. SMC fur ein 
dezentrales bzw. zentrales Sicherheits- und Schlus- 25 
selmanagement mit gespeicherten Zertifikaten und 
Schliisseln vorgesehen sind. 

7. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE und SB eine digitale Un- 
terschrift, eine Verifizierung von elektronischen 
Unterschriften und eine Ver- und Entschlusselung 
als integrierten Dienst bereitstellen. 

8. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE/SB und SMC mit opti- 
schen bzw. akustischen Signalisierungsmitteln ver- 
sehen sind. 
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